La NSA s’intéresse de près aux objets connectés. L’agence américaine de renseignement indique qu’ils pourraient s’avérer être une source précieuse de données. Elle reconnait cependant que la pluralité de ces appareils pourrait être à la fois aussi bien une opportunité qu'un vrai problème.
Le travail de la NSA (National Security Agency) comporte deux facettes. La première est la plus connue depuis le passage d’Edward Snowden : le renseignement. L’agence doit recueillir toutes les informations susceptibles d’intéresser le pays dans le cadre de diverses luttes, notamment contre le terrorisme. L’autre est la défense du territoire, quand bien même pour la NSA ladite défense peut impliquer une attaque.
L’agence effectue en effet un travail paradoxal, aux conséquences parfois funestes. Elle participe par exemple à l’élaboration de certains protocoles de sécurité. Elle est une étape obligatoire pour tous ceux dont les produits espèrent atterrir sur des ordinateurs gouvernementaux, particulièrement pour ce qui a trait à la sécurité. Mais les documents de Snowden ont montré comment la NSA allait jusqu’à introduire des portes dérobées dans le code pour se laisser une marge d’action. Sans aller jusqu’à en créer, il suffit qu’elle détecte des failles et qu’elle en garde les détails.
Ces deux facettes intimement liées impliquent que la NSA garde un œil sur presque tout, expliquant notamment pourquoi elle dispose de budgets colossaux. En plus de ses différents programmes de surveillance (dont le plus connu est sans doute Prism), elle suit l’évolution de la technologie et des usages. Les objets connectés, qui sont bien loin d’avoir révélé leur plein potentiel, font partie des pistes actuellement explorées.
Cauchemar et aubaine
Comme le rapporte The Intercept, c’est le directeur adjoint de l’agence, Richard Ledgett, qui l’a confirmé vendredi dernier lors d’une conférence à Washington sur la technologie militaire. Mais il s’agit d’un domaine très vaste, regroupant des secteurs très différents. Aussi, interrogé sur la possibilité de suivre toutes les évolutions, Ledgett confirme, ajoutant que même les petits équipements biomédicaux connectés sont examinés.
Le directeur adjoint précise cependant que cet intérêt se fait pour l’instant « du point de vue de la recherche ». Comprendre que l’agence étudie ces objets pour savoir comment ils fonctionnent. Le vrai problème pour la NSA est le nombre toujours croissant de ces appareils. Interrogé d’ailleurs si l’ensemble des objets connectés serait « un cauchemar de sécurité ou une aubaine pour les données de renseignement », Ledgett a confirmé : « Les deux ».
La NSA insiste : elle ne peut pas être partout
Le responsable a tenu en effet à torpiller une « croyance » populaire : la NSA n’est pas sur tous les fronts au point de savoir exploiter le moindre appareil tombant entre ses mains. Elle doit ainsi faire des choix et définir des priorités, et ces dernières sont toujours régies par les technologies utilisées par les cibles. Il explique cependant qu’un tel foisonnement est à la fois un défi et une opportunité : « Mon travail étant de pénétrer les réseaux des gens, la complexité est mon amie. La première fois que vous mettez à jour un logiciel, vous introduisez des vulnérabilités, ou bien des variables ». On en revient alors à la quête perpétuelle des failles à exploiter.
Point intéressant, le directeur adjoint a rebondi sur ce sujet pour revenir à l’affaire San Bernardino, dans laquelle Apple et le FBI se sont affrontés autour d’un iPhone 5c récalcitrant. La NSA avait été critiquée pour ne pas avoir aidé le Bureau dans sa volonté de percer la sécurité du smartphone. Pour Ledgett, l’explication est simple : l’agence n’avait tout simplement pas investi de ressources dans l’examen de ce modèle en particulier. « Nous ne nous occupons pas de tous les téléphones, ou de toutes les variations d’un téléphone. Si nous n’avons pas un méchant qui l’utilise, on ne le fait pas ».
De simples données complémentaires ?
Dans un cadre de suivi des « méchants », les objets connectés pourraient se révéler de précieux atouts, mais ils sont pour l’instant vus comme d’éventuels compléments. The Intercept rappelle que dans une lettre envoyée début mai au sénateur Ron Wyden, le Bureau national du renseignement avait indiqué que les données issues « d’un réfrigérateur, d’une machine à laver ou d’un jouet pour enfant » ne pourront jamais remplacer le contenu des communications dans le cadre de la lutte antiterroriste.
Pour autant – et il s’agit une nouvelle fois du travail à deux facettes de la NSA – Ledgett confirme que la recherche actuelle faite sur les objets connectés doit servir également à protéger. Les smartphones personnels ne sont pas autorisés dans les locaux, mais que se passera-t-il quand un employé aura pour la première fois un appareil médical connecté, comme un pacemaker ? Le responsable l’avoue : « Nous n’avons pas encore résolu ce problème ».
La NSA ne devrait en tout cas pas manquer d’opportunités sur les objets connectés. Leur nombre grandit rapidement et de nombreuses inquiétudes se sont déjà manifestées sur la sécurité de l’ensemble. L’agence ne devrait donc avoir qu’à se baisser pour en cueillir.
Commentaires (17)
#1
Je voulais faire une blague… et puis non, c’est juste un cauchemar en fait.
#2
On va certainement voir arriver les IoT zombies qui seront jamais mis à jour, ça sera sympathique pour le DDOS.
#3
La NSA n’a même pas besoin de ça: il suffit d’aller se servir sur Facebook.
Même sans être la NSA il est facile d’avoir l’autorisation d’accès aux données personnelles.
Le plus fort c’était un quizz sur le cinema que j’ai vu passé récemment et qui demandait bien sûr l’accès à vos données personnelles. En échange de quoi ? Quelques images de films très connus et le pire c’est que le test est truqué: même en répondant mal à 50% des question tu avais le droit à une note de 100⁄100 et il fallait avoit tout faut pour descendre à 70%! Tout ça pour flatter l’ego et pousser les gens à partager cette bouse le plus possible et ainsi obtenir le maximum d’infos…
#4
“La première fois que vous mettez à jour un logiciel, vous introduisez des vulnérabilités,” Est-ce mal traduit de l’anglais ? Ou faut-il comprendre qu’ils se servent des mise à jour pour ajouter des vulnérabilités ? Ou pour du man in the middle durant l’opération de maj ? Ou j’ai simplement mal compris.
#5
La traduction est bonne. Les mises à jour peuvent venir avec leur lot de nouvelles failles/vulnérabilités. Par contre l’aspect des variables m’échappe d’un point de vue technique je suis dépassé
" /> . La version anglaise tend à indiquer que les mises à jour introduisent plus de nouvelles variables que de vulnérabilités. Si quelqu’un peut expliquer la différence 
" />
#6
Ok. Pour moi l’intérêt principal des mises à jours et justement de corriger les vulnérabilités. Même si il y a un risque d’en introduire de nouvelles, généralement on est quand même sensé avoir un bilan en faveur d’une réduction des risques. Mais c’est vrai que le nouveau code leur donne de nouvelles opportunités qu’ils n’avaient peut-être pas avant.
#7
Petite chanson de développeur :
" />
100 bugs sur un mur,
1 bug tombe du mur
102 bugs sur un mur
#8
#9
Qu’elle arrogance quand même
#10
#11
Ras le cul de cette desinformation PERMANENTE concernant la Nsa :
-l’objectif PREMIER de cette “entité” est de faire “gagner” des contrats commerciaux aux multinationales US (cf affaire Boeing-Airbus au temps d’echelon) en espionant le monde entier.
-le renseignement militaire et la vie privée n’est que le “bonus” recolté de cette collecte dont ils se foutent eperdumant.Ils ont d’autres services specialisés pour ca.
Je suis pas loin de penser que l’affaire Snowden n’est en fait qu’un gros de foutage de gueule organisé en amont jeté en pature aux “idiots”pour cacher la vrai nature du “business”
#12
Je suppose par conséquent, compte tenu de ta véhémence et ton intellect supérieur (attendu que tu n’es pas dupe du foutage de gueule lancé en pâture aux idiots), que tu peux nous montrer une preuve quelconque qui ferait de ton cri du cœur autre chose qu’un énième élément de désinformation ?
On ne doit pas les croire “eux” (représentants de la NSA, média, etc.) mais on devrait te croire toi ? Au nom de quoi ? Sur quel fondement ?
L’intelligence économique fait très probablement partie des missions de la NSA (ou d’une organisation similaire) tout comme elle fait partie tout aussi probablement des missions de la DGSE/DCRI ou de tout autre service de renseignement d’un pays. Du coup tu veux en venir où ?
Ce qu’à montré Snowden, c’est que les services du renseignement américains avait d’immenses moyens pour piocher des info à peu près partout. Je ne me souviens pas qu’il ait parlé des finalités des informations collectées…
#13
Merci pour la précision 
" />
#14
#15
Elle me plait bien ton explication dans tous les cas 
" />
#16
“Les smartphones personnels ne sont pas autorisés dans les locaux” ??? Ah oui, qqn peut me dire d’où ça sort ?
#17
Dans les locaux de la NSA, c’est bien possible.